관련링크

올해 10월 25일, 와탭랩스는 ISO-27001, 27017, 27018 국제 보안 인증을 취득하였습니다. 기업들의 클라우드 도입이 늘면서 서비스 무중단과 성능 모니터링에 대한 필요성 역시 높아지고 있는데요. 와탭랩스는 고객 신뢰도를 높이고 글로벌 경쟁력 강화를 위해 보안 위협 요소를 줄이고, 고객에게 안전한 SaaS 모니터링 서비스를 제공하기 위해 국제 표준 인증을 획득했습니다. 이번 포스팅에서는 100% 클라우드 환경에서 최소한의 비용으로 ISO27001 국제 보안인증 취득하기까지의 여정을 소개하겠습니다.

0. 와탭 현황

와탭랩스는 100% 클라우드 환경으로 개발과 운영을 하고 있습니다. 내부에 서버가 1대도 없는 상황이며, 멀티 클라우드 환경으로 AWS, Azure, 카카오 클라우드, Huawei를 사용하고 있습니다. 고객의 개인 정보는 AWS의 서울 리전에만 저장하고 있으며, 고객의 모니터링 정보는 고객이 선택한 클라우드와 리전에 보관하고 있습니다.

와탭은 올 6월 KISA에서 발표한 [제로 트러스트 가이드라인 1.0]을 따라 최소한의 비용으로 네트워크, 모니터링, 접근제어 환경을 고려하였습니다.

1. 네트워크 분리

ISO-27001의 통제 항목 8.3 정보 접근제한, 8.5 안전한 인증, 8.20 네트워크 통제, 8.22 네트워크 분리 요건 충족을 위해 네트워크 분리를 진행하였습니다. 여기서 말하는 분리란 네트워크뿐만 아니라 사용자의 분리도 함께 포함하고 있습니다. 현재 와탭에선 Devops 환경을 지향하고 있어 사용자의 분리 개념이 어색한 상황이었습니다. 개발자가 운영 서버에 접속할 수 있되, 권한을 최소한으로 두고 접근 권한 관리 및 모니터링을 최대화하였습니다.

결론적으로 완성된 환경은 아래의 이미지와 같습니다.

(1) 운영환경과 개발환경 분리

• 개발 환경은 AWS 서울 리전에만 존재합니다. 운영망과 개발망의 네트워크 분리는 클라우드의 VPC 서브넷을 통해 진행하였습니다.
• 각 환경에 접속할 수 있는 VPN을 나눠 접속 환경까지 분리했습니다.
• 각 VPN 계정은 Keycloak을 이용해 관리하고 있으며, Keycloak은 내부에 직접 구축하여 서비스 사용 비용이 들지 않습니다.

(2) 사용자 분리

• 운영망 접속 시에는 Teleport를 이용하여 사용자 인증을 진행하였습니다. Github 계정을 통해 Teleport에 접속할 수 있습니다.
• Teleport는 내부에 직접 구축하여 서비스 사용 비용이 들지 않습니다.
• 개발자가 긴급하게 운영 서버에 접속이 필요한 경우, 접속자에 따라 접속할 수 있는 서버, 사용 가능한 명령어, 접속할 수 있는 기간을 제한하였습니다.
• 모든 접속 권한 부여는 전자결재를 통해 신청받은 후 부여하는 방법으로 진행하였습니다.

(3) 배포 관리

• 하나의 jenkins를 사용하여 개발 환경, 운영 환경에 배포하고 있다 보니 해당 요건을 맞추기가 제일 까다로웠습니다.
• jenkins의 RBAC 플러그인을 추가로 설치하여, 개발자의 역할에 따라 role을 분리하였습니다.
• 이때 배포 job의 패턴을 통일하여 각 그룹을 생성하였으며, 이를 바탕으로 접근 권한을 분리하였습니다.
• 개발자는 운영망 배포가 불가능하며, 운영 배포와 관련된 모든 job 확인 역시 불가능합니다.

2. 모니터링

ISO-27001의 통제항목의 8.15 로그기록, 8.16 모니터링 활동 요건 충족을 위해 서버 리소스, APM, 로그 모니터링을 진행하고 있으며, AWS에서 제공하는 다양한 보안 모니터링 툴도 같이 사용하고 있습니다.

(1) 리소스 모니터링

• 내부에 구축된 와탭의 서버 모니터링을 이용하여 리소스 사용 현황을 모니터링하고 있습니다.
• OS 버전 현황, 리소스 정보, 네트워크 정보 등을 실시간으로 확인할 수 있습니다.
• telegram으로 경고 알림이 발생하여 이슈 발생 여부를 알 수 있습니다.

(2) 로그 모니터링

• 기본적으로 운영 서버는 Ubuntu 최신 버전을 사용하고 있습니다.
• /etc/profile.d/log.sh에 히스토리 로그를 추가하는 스크립트를 작성하여 전체 계정의 히스토리 로그를 syslog에 저장하고 있습니다.
  

      #syslogUSER=`whoami`USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`function history_to_syslog {declare commandcommand=$(fc -ln -0)if [ "$command" != "$old_command" ]; thenlogger -p local1.notice -t bash -i ? "$USER : $USER_IP": "$command"fiold_command=$command}trap history_to_syslog DEBUG
      

와탭의 flex 보드를 이용하여 주요 명령어, VPN 접속자, DB 접속자를 모니터링 합니다. 사외 VPN 접속자 발생, 주요 명령어 사용 등 시나리오에 맞춰 경고 알림을 telegram으로 받고 있습니다. 해당 원본 로그는 S3의 객체잠금 기능을 이용하여 12개월 동안 보관하고 있습니다.

(3) 보안 모니터링 툴 사용

• AWS의 GuardDuty, Detective, Inspector, Security Hub를 사용하고 있으며, WAF는 CloudFlare를 사용하고 있습니다.
• 긴급사항 발생 시 관련 알림 메일이 발생하여 즉각적으로 보안 사고에 대응하고 있습니다.

3. 주기적인 보안 교육

내부에 별도로 보안 훈련 및 교육을 위한 유료 서비스를 사용하지 않습니다. 대신 KISA에서 제공하는 다양한 서비스를 이용하여 보안 훈련을 진행하고 있습니다. 사이버 시큐리티 훈련 플랫폼을 이용하여 주기적으로 공지 없이 해킹 메일 모의훈련을 진행하고 있습니다. 또한, 해당 플랫폼에서 제공하는 DDos 공격 훈련도 함께 진행하였습니다.

또한 ISO-27001의 통제 항목의 7.9 외부 자산의 보안, 8.1 사용자 단말 장치, 8.7 악성코드로부터 보호 요건 충족을 위해 백신과 같은 서비스 구매가 필요한 상황이었습니다. KISA 지역 정보보호 센터의 SECaaS 서비스 지원 사업을 이용하여 저렴한 가격으로 전사 직원 PC에 Anti-Virus를 설치하였습니다.

다양한 지원 사업을 통해 저렴한 금액으로 내부 보안 인식 및 보안성을 향상할 수 있습니다. 각 회사에 맞는 효과적인 지원 사업을 활용해 보는 것을 추천 드립니다.

와탭랩스에서 ISO 인증을 취득하기 위해 실제로 진행한 경험담을 전달해 드렸는데요. 2탄에선 시큐어 코딩 관련 설정 사례와 S3, VCS에 업로드된 주요 파일 확인 방법 등을 설명하도록 하겠습니다.